Řízení ostatních faktorů

4. BYOD a omezení oprávnění

Pojem Bring Your Own Device (BYOD) se vztahuje na zaměstnance, kteří přinášejí, užívají a připojují na pracovišti vlastní mobilní zařízení, jako například chytré telefony, laptopy nebo tablety.

Pro spravování firemních i osobních zařízení se využívá nástroje Mobile Device Management (MDM), který může obsahovat například tyto funkcionality:

• konfiguraci mobilních zařízení,
• zálohu dat,
• obnovu dat,
• distribuci firmware a aplikací,
• monitoring zařízení apod.

Omezení oprávnění

Uživatelé a administrátoři by měli využívat přístup k informacím a systémům pouze v rozsahu nezbytně nutném pro výkon činností vyplývajících z popisu pracovního místa či smluvního ujednání.

Tento princip je běžně znám pod pojmem need-to-know. Přidělování a odebírání přístupových oprávnění mělo být v souladu s politikou řízení přístupu.

Přístupová oprávnění, přidělené identity a rozdělení do přístupových skupin a rolí se musí pravidelně přezkoumávat. V případě změny pracovní pozice nebo ukončení smluvního vztahu je potřeba přístupová oprávnění změnit nebo odebrat. Přidělování a odebírání přístupových oprávnění musí být dokumentováno.

Doporučení: Pro pravidelné přezkoumávání přidělených přístupových oprávnění je vhodné stanovit odpovědnou osobu.

V rámci politiky řízení přístupů se musí definovat pravidla a postupy potřebné pro omezení a kontrolu používaného softwaru a hardwaru, který by mohl narušit systémovou a aplikační bezpečnost.

Příklad: Jedná se o kontrolu připojovaných USB, antivir apod.

Privilegované účty

Přístupová oprávnění pro privilegované účty musí být přidělována v souladu s politikou řízení přístupů.
Administrátoři nesmí mít sdílené přihlašovací údaje. Administrátor musí mít vedle privilegovaného účtu i účet běžného uživatele pro činnosti, které nevyžadují privilegovaná oprávnění.

Doporučení: K zabezpečení řízení přístupu se pro ověření identity uživatelů, administrátorů a aplikací doporučuje maximálně využívat vícefaktorové autentizace.